- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
Concorsi pubblici, Garante: i dati dei partecipanti devono essere blindati
Per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri l’Azienda ospedaliera Cardarelli di Napoli si è vista applicare dal Garante per la privacy una multa di 80mila euro. Un’altra sanzione di 60mila euro è stata irrogata alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.
A seguito di una segnalazione, con la quale si lamentava il fatto che i dati dei candidati alla selezione – in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche) – fossero liberamente accessibili online, l’Autorità ha avviato una complessa istruttoria, anche attraverso accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti alla disciplina di protezione dati.
Collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato infatti possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti. Utilizzando i codici si sarebbe perfino potuto modificare i dati personali inseriti dai concorrenti. L’Autorità – composta dal Presidente Pasquale Stanzione, dalla Vicepresidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza – ha ritenuto illeciti i trattamenti di dati personali svolti dall’Azienda ospedaliera e dalla Società perché effettuati in violazione delle norme del Regolamento europeo.
Entrambi i soggetti non avevano infatti adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la Società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto. Il Garante infine, rilevato che la Società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria. Entro 30 giorni la Società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.
Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.
L’Autorità tenuto conto della particolare delicatezza dei dati diffusi, oltre alla sanzione pecuniaria ha applicato la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461344
Fonte: garanteprivacy.it